Oracle Patch Day

Oracle will heute wichtiges Java-Update bereit stellen

Heute ist großer Patch Day bei Oracle. Die Termine für Java-Updates sowie für Sicherheits-Updates anderer Oracle-Produkte fallen im April auf einen Tag. Allein in Java will Oracle 42 Lücken schließen.

© Screenshot: Frank Ziemann

Oracle stellt Java-Update bereit: Es gibt viele gestopfte Sicherheitslücken.

Bei Oracle gibt es zwei Update-Zyklen: Sicherheits-Updates für Oracle-Produkte gibt es alle drei, für Java alle vier Monate. Heute fallen diese Update-Termine zusammen, weil Oracle für Java einen Zusatztermin einschiebt. Turnusmäßig wäre Java erst wieder im Juni an der Reihe.

Doch Oracle musste bereits viermal in diesem Jahr kritische Java-Lücken stopfen, ohne dass dabei alle bereits bekannten Schwachstellen behoben worden wären. Beim Hacker-Wettbewerb Pwn2own Anfang März wurde Java zudem viermal gehackt. Vier Teilnehmer konnten Lücken im Java Plug-in JRE (Java Runtime Environment) nutzen, um die Kontrolle über einen Rechner zu erlangen.

So hat Oracle für heute Abend angekündigt, 42 Java-Schwachstellen beheben zu wollen, von denen 39 ohne Benutzeranmeldung über das Netz ausnutzbar sind. Mehrere Lücken werden den höchsten CVSS-Score 10.0 tragen. Die Sicherheitslücken betreffen die Java-Generationen 7, 6 und 5, wobei es nur noch für Java 7 öffentlich verfügbare Updates geben soll. Java 5 und 6 haben das Ende ihres Produktlebenszyklus' erreicht, Updates erhalten nur noch zahlende Kunden (Java for Business).

Die Updates (CPU - Critical Patch Updates) für die anderen Oracle-Produkte sollen 128 Schwachstellen beseitigen, die Dutzende von Programmpaketen betreffen. Das Spektrum reicht von der Oracle Database über die E-Business Suite bis zur quelloffenen Datenbank MySQL. Allein in MySQL, das auf Millionen Websites eingesetzt wird, will Oracle 25 Lücken stopfen. Nur eine soll aus der Ferne über das Netzwerk und ohne Benutzeranmeldung ausnutzbar sein.

Mehr zum Thema

Oracle reagiert

Oracle hat am Sonntag ein Sicherheits-Update für Java 7 veröffentlicht. Es beseitigt eine Schwachstelle im Browser-Plugin, die bereits für breit…
Nachbesserung

Oracle hat angekündigt, am 19. Februar wie ursprünglich geplant, ein Java-Update bereit zu stellen. Damit will der Hersteller weitere…
Nächster Bugfix für das Update

Java-Hersteller Oracle hat die neuen Java-Versionen 7u15 und 6u41 veröffentlicht. Darin haben die Entwickler fünf weitere, teils als kritisch…
Java 7 Update 15

Auch die neueste Version Java 7 Update 15 enthält ausnutzbare Sicherheitslücken. Polnische Sicherheitsforscher haben zwei solcher Schwachstellen an…
Critical Patch Update

Der Software-Hersteller Oracle hat seine vierteljährlich erscheinenden Sicherheits-Updates veröffentlicht. Über die gesamte Produktpalette werden…